CASE STUDY

1 国立研究開発法人宇宙航空研究開発機構

セキュリティ部門にこそ求められた働き方改革を実現

国立研究開発法人宇宙航空研究開発機構は、宇宙開発利用を技術面から支援する中核的実施機関である。内閣府・総務省・文部科学省・経済産業省が共同して所管する国立研究開発法人で、日本の航空宇宙開発政策を担う。

国立研究開発法人宇宙航空研究開発機構

宇宙開発利用を技術面から支援する中核的実施機関として、日本の宇宙・航空分野の発展を強力にけん引しており、宇宙安全保障や民生分野における宇宙利用の推進、航空科学技術など、幅広い分野で数多くのプロジェクトを展開。関係府省や関係機関、民間事業者、大学などと連携しながら、社会・経済の発展に貢献するとともに、長期的・国際的視野に立って宇宙・航空分野の研究開発及び利用を戦略的に推進している。

CASE STUDY

2 国立研究開発法人宇宙航空研究開発機構

幅広い分野で欠かせない IT活用

2003年に宇宙科学研究所、航空宇宙技術研究所、宇宙開発事業団の 3機関が統合して新たに発足し、2015年 4月には国立研究開発法人となった宇宙航空研究開発機構（以下、JAXA）。「宇宙と空を活かし、安全で豊かな社会を実現する」を経営理念に、〝Explore to Realize〟をコーポレートスローガンに掲げ、日本における宇宙や航空分野の中核的実施機関として、同分野の基礎研究から開発・利用までを手掛けている。

JAXAでは、一般的な業務システムはもちろんのこと、ロケットや航空機の基礎研究に不可欠なシステムを運用しており、ロケットの軌道計算や衛星の画像解析、宇宙飛行士訓練のための VRなど、さまざまなプロジェクトにおいて幅広く ITが活用されている。

また、政府が主導する働き方改革にも注力しており、クラウドを活用してさまざまな場所からアクセスできる環境整備による、場所やデバイスに依存しない働き方が可能な環境整備に尽力している状況だ。様々な IT環境がある中で、セキュリティを統括するセキュリティ・情報化推進部のセキュリティ統括課では、ルール、人、システムの 3 つの観点からセキュリティ強化を行っている。

最近はOTに対するサイバー攻撃の脅威が顕在化しているため、ロケットや衛星の追跡管制等の宇宙システムに関わるセキュリティ強化を進めているという。

日々発生するセキュリティインシデントの対応を行っているなか、近年のセキュリティに関する取り組みについて同課 研究開発員 和田 崇之氏に聞いた。

限られたリソースで脅威に対応し続けるために生産性向上を模索

「サイバー犯罪用に作成されたエクスプロイトキットが Web上に公開されたり、ランサムウェアをばらまくメールが氾濫したりしたことで、インシデント対応件数が前年度に比べて 1.5倍に増えるなど、外部からの攻撃件数が圧倒的に増えていたのです」（和田氏）。

しかも近年の攻撃は、30分・1時間のスパンで攻撃が進行し、大規模な被害に及ぶという状況で、攻撃手法もかなり幅広く、専門的な知識も要求されるようになっている。

脅威の対応で業務量が増える状況でも人員を簡単に増やせないため、セキュリティレベルを保つためには生産性を大きく向上させ、限られたリソースでも持続可能な状況が求められた。従来のように各システムのログを手動で取得し原因特定するようなアナログ的な方法では対応が遅れることを懸念し、インシデントを効率的に分析、対処できる環境が望まれていたという。

ノウハウの蓄積だけでなく継承できる基盤の必要性

政府機関である JAXA では、機微な情報、宇宙システムの管理も手掛けている。だからこそ、外部に対応を委託することが難しいケースも少なくない。

「重要な部分は内部で対処できる環境が必要不可欠です。また、仕事をローテーションさせる文化が JAXA内にはあるため、担当者が変わったときに使いにくかったり、わかりにくくなるようなシステムは避けたかった。新たなサイバーセキュリティにも対処しやすい拡張性を持ち、しかもブラックボックス化せずに人間がしっかり見て確認できる、ノウハウがしっかりと継承できる環境が望まれていたのです」（和田氏）。

他にも、NASA 等の国外の宇宙機関や、他の外部機関からの脅威情報の共有もあり、これらの情報を有効活用するためにも、過去の膨大な情報を対象に迅速に調査できる仕組みも求められた。そこで和田氏は、調査時間の短縮に確実に貢献してくれることはもちろん、自分たちだけでなく今後使う人も直観的に使え、蓄積したノウハウを引き継げるという要件を重視した。

「複数システムのログを効率的に収集し分析しやすく見える化してくれるものとして、すぐに SIEMが思い当たりました。ただし、後から担当した人でも直感的に操作でき、特殊で高度な専門知識なしに一般的な運用担当者でも負担なくチューニングできる使いやすさが条件でした。」（和田氏）。

また、新しい脅威にも対応できるよう、ログの収集対象を追加し検知ルールに反映できる柔軟性や拡張性を求めること

課題 •インシデント対応件数が 1.5倍に急増、限られたリソースでも効率良く対応できる体制

•機微な情報も手掛けるため、内部でも対処できる範囲の拡大とレベルの向上

•新たな脅威にも対処できる拡張性と組織力の継続的な強化

導入製品・サービス •セキュリティ情報 /イベント管理 （SIEM） ソリューション「McAfee Enterprise Security Manager」

•プロフェッショナルサービス

効果 •数日以上要した調査が 2時間に短縮し迅速な対応を実現

•既に導入していた対策製品の活用促進により脅威検知レベルを向上

•チームのスキルアップにも活用

CASE STUDY

3 国立研究開発法人宇宙航空研究開発機構

に。調達面で負担にならないよう、ログを増やすと課金が発生する従量課金のものではないこともポイントの 1つに挙げられた。「スピードが求められるインシデント対応時に、処理イベント数を増やすためにライセンスの問題で予算調整や処理対象を絞るような状況になると導入効果が半減することを懸念しました」（和田氏）

実際には様々な SIEMの特徴を調査し重視する要件を慎重に検討した。最終的に入札により JAXAの要求を満たす SIEMとしてMcAfee Enterprise Security Managerが選ばれることになる。

初動に大きくかかわる調査時間を短縮

現在は、WAFや IPSなどの出入り口対策システムをはじめ、端末操作ログなどを含めたエンドポイントセキュリティ、そしてネットワーク機器装置、認証サーバなどのログを SIEMで統合し、ログの分析 / 調査、相関ルールへの反映などを繰り返しながらセキュリティ運用の効率化と強化を図っている。実際のログは1日で50～100GBあまりが分析されている状況だ。

SIEMの活用により調査時間を劇的に短縮できる理由としては、ログを投入すればすぐに正規化でき、異なるログの種類を意識することなく、項目ごとに意味づけして格納される。多少ログを見た経験があれば、初めての人でもすぐに理解できるインターフェースを提供してくれると評価する。

以前は膨大なログを様々な条件で取得するだけで数日を要し、さらに出力されたログを人手で関連付けしながら分析をしていたが、同じインシデントのログ環境を準備した CSIRT主導のハンズオントレーニングでは、インシデント未経験者でもわずか 2 時間程度で解析完了するまでに。効率的に分析できるようになり生産性の向上に貢献する SIEMは、まさにセキュリティ部門にとっての働き方改革につながるものだと評価している。

作業を効率化し生産性向上のための時間を確保

調査時間を短縮するだけでなく、調査の手間を減らすには検知レベルを上げることが重要だ。検知力を向上させるのに欠かせない実際のルール作りは、マカフィーのアナリストとと

もに実装するものもあれば、和田氏自身が日々の運用の中で実装したものもある。例えば、これまで対象外だったWebのブロックログを他のログと組み合わせて相関ルール化したことで、大きなインシデントになる前に検知できるような工夫も。

他にも JPCERTの分析レポートなども参考に、これまで活用しきれなかった IPSの低アラートログや端末操作ログなども他のログとの関係よっては重要度を上げるなど導入済みのセキュリティ製品がさらに有効活用できるようになったことは大きいと和田氏。

「情報が集約され可視化の向上により、これまで見えなかったものが見えてくる �宝探し� のような感覚があり、ある意味面白く楽しみながら運用強化ができています。

また、日々の対応の中で得た気づきから新たな検知ルールや自動化のためのルールなどを作成することにより、目に見える改善が図れるのは、モチベーション維持の観点からも重要だと考えています」（和田氏）。

ユーザと良好な関係構築がセキュリティ向上につながる

なお、日々変化しているユーザーのシステムの利用状況についてもセキュリティ視点で理解できるようになり、より的確な状況把握に役立っているという。

また 3つの組織が 1つになって発足した JAXAだけに、研究組織と事業組織では ITの使われ方も異なっているため、その実態把握にも役立つ場面が多いと和田氏。

「研究所では学生なども利用するため、なかには適切な使い方とはいえないものも。きちんと的確に状況を伝えることで、教育的な効果が高まり組織全体としてのセキュリティ強化につながっています。セキュリティを理由に不自由さを押し付け縛りすぎることは本意ではありません。セキュリティ監視の透明性を高め、何かあったときに相談してもらえるような環境を整えたい」（和田氏）。

標的型攻撃など単純にシステムだけでは検知できないインシデントも増えている。人が気付いたときには隠さず、自然に連絡してもらえるような環境づくりが重要だと説く。

「セキュリティ運用の自動化が促進され生産性が向上しただけでなく、これまでは見えなかったものが正確に見えてきました。また、運用ノウハウの蓄積や共有の基盤としてセキュリティ運用の働き方改革に大きく貢献してます」。 国立研究開発法人 宇宙航空研究開発機構 セキュリティ・情報化推進部 セキュリティ統括課 研究開発員 和田 崇之 氏

CASE STUDY

4 国立研究開発法人宇宙航空研究開発機構

マカフィー株式会社 www.mcafee.com/jp東 京 本 社 〒 150-0043 東京都渋谷区道玄坂 1-12-1 渋谷マークシティウエスト20F 西日本支店 〒 530-0003 大阪府大阪市北区堂島 2-2-2 近鉄堂島ビル18F TEL ：03-5428-1100（代） FAX ：03-5428-1480 TEL ：06-6344-1511（代） FAX ：06-6344-1517

McAfee, McAfeeのロゴ、マカフィーは米国及びその他の国におけるMcAfee LLCの商標または登録商標です。その他の商標または登録商標はそれぞれその所有者に帰属します。Copyright © 2018 McAfee LLC.● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。　● 製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。

これまでの取り組みとこれからの取り組み

過去、周りの要請もあり CSIRT に該当する組織を作っていたが、その責任範囲、スキル・ツール等に不明確な部分があった。背景として、JAXA はもともと、ロケットの打ち上げ、衛星の運用管制等で発生する事案に対する危機管理体制やその対応経験は充実していたため対応ができていた部分もあった。事実、過去に起きてしまったマルウェア感染による情報漏えいが疑われる事案の対応にも生かされていた。しかし、現状の脅威に迅速に対応しつづけるため、組織としての CSIRTの責任範囲を明確化し、手順やシステム等の改善を図っている。

今後については、マカフィーも情報発信している、過去の脅威から想定した脅威の仮説を基に調査をプロアクティブに実施するスレッドハンティングなども実践し、ノウハウ共有やスキル向上など人の教育を重点的に行ってきたいと和田氏。

他にも「CSIRTメンバーのスキル向上はもちろん、各部門に担当者を置いてバーチャルな組織と連携して対応を行っているため、有事の際に協業する人材は幅広く訓練しておきたい。そのために、過去のログを活用してスキルアップできる SIEMは非常に有効です。システムも使う人に依存するため、教育をさらに充実させていきたい」（和田氏）。

取材： 2018年 1月

製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。

最新導入事例はこちらをご覧ください。http://www.mcafee.com/jp/case-studies.aspx

国立研究開発法人 宇宙航空研究開発機構 セキュリティ・情報化推進部 セキュリティ統括課 研究開発員 和田 崇之 氏

MCACS-JAXA-1803-MCA